De Autoriteit Persoonsgegevens (AP) gaat organisaties die gebruikmaken van generatieve artificiële intelligentie (AI), flink aan de tand voelen. Als eerste is software-ontwikkelaar OpenAI per brief om opheldering gevraagd over ChatGPT. Daarnaast maakte de privacywaakhond in een rapport bekend in 2022 21.151 meldingen over datalekken te hebben ontvangen.
De AP wil van OpenAI weten of de vragen, die mensen in de tool stellen, worden gebruikt om het algoritme te trainen, en zo ja, op welke manier. Verder wil de privacy-waakhond weten op welke manier OpenAI persoonsgegevens van internet verzamelt en gebruikt. Ook de informatie over mensen die GPT ‘genereert’, baart de AP zorgen. De gegenereerde inhoud kan onnauwkeurig zijn, verouderd, onjuist, ongepast, beledigend, of aanstootgevend. Ook kan allerlei onzin een eigen leven gaan leiden. Of en zo ja hoe OpenAI die gegevens kan rectificeren of verwijderen, is onduidelijk.
Een woordvoerder van de AP kan nog niet zeggen wat er gebeurt wanneer OpenAI de vragen niet of onbevredigend beantwoordt. Maar een verwerkingsverbod behoort in principe tot de mogelijkheden.
Taskforce
ChatGPT is een chatbot die ogenschijnlijk overtuigende antwoorden kan geven op veel verschillende vragen. Gebruikers kunnen ChatGPT bijvoorbeeld vragen hun wiskundehuiswerk te doen of computercode te schrijven. Ook kunnen ze de chatbot gebruiken om advies te vragen bij relatieproblemen of medische kwesties. In Nederland maakten alleen al in de eerste vier maanden na de lancering 1,5 miljoen mensen gebruik van de chatbot.
De ai-chatbot is gebaseerd op een geavanceerd taalmodel (GPT) dat is getraind met data. Dat kan door data te verzamelen die al op internet staan, maar ook door de vragen die mensen stellen op te slaan en te gebruiken. Die data kunnen gevoelige en heel persoonlijke informatie bevatten, bijvoorbeeld als iemand advies vraagt over een echtelijke ruzie of over medische zaken.
De Europese autoriteiten op gebied van gegevensbescherming hebben onlangs een taskforce opgericht ter handhaving van EU-wetten op ChatGPT. Doel is samen te werken en informatie uit te wisselen over OpenAI, een bedrijf waar Microsoft een flinke vinger in de pap heeft.
De Italiaanse privacytoezichthouder begon eind maart een onderzoek naar het Amerikaanse bedrijf. Er kwam een tijdelijk verbod op de verwerking door ChatGPT van de persoonlijke gegevens van Italiaanse gebruikers wegens vermeende schendingen van privacywetten. De Italianen hebben dit verwerkingsverbod overigens weer opgeheven.
Datalekken
Vorig jaar ontving de AP 21.151 meldingen over datalekken. Meer dan 1.800 lekken waren het gevolg van cyberaanvallen, die extra gevaarlijk zijn. Cybercriminelen gebruiken buitgemaakte gegevens zoals e-mailadressen om grote groepen mensen en organisaties op te lichten met nepberichten die afkomstig lijken van betrouwbare instanties.
In de jaarlijkse datalekkenrapportage maakt de AP ook de balans op van de afgelopen vijf jaar. Sinds de invoering van de AVG in 2018 ontving de AP meer dan 114.000 meldingen van een datalek, waarvan ruim 6.500 het gevolg waren van cyberaanvallen. De AP ziet het jaarlijkse aantal datalekmeldingen ongeveer op hetzelfde niveau blijven, maar het aantal slachtoffers lijkt te stijgen. Met name bij cyberaanvallen kunnen in één keer veel mensen worden getroffen. Door de drie grootste datalekken in de zorgsector kwamen in 2022 bijvoorbeeld de medische gegevens van zo’n 900.000 mensen op straat te liggen.